Análisis recientes en ciberseguridad han demostrado una campaña de espionaje en Latinoamérica enfocada en redes corporativas de países como Colombia.
Ahora bien, ¿cómo funciona el espionaje? Fácil, con el uso del malware Bandook y algunas novedades en sus funciones relacionadas con las tecnologías de la información. Acompáñanos y descubre todo al respecto.
¿En qué consiste la campaña de espionaje en Latinoamérica?
Los ciberataques han crecido en Latinoamérica y tener un antivirus u otros servicios que ofrezcan protección 24/7 se hacen cada vez más necesarios como una medida preventiva ante cualquier ciberataque.
Por otro lado, saber qué es un Bandook es fundamental para reconocer el impacto de la campaña de espionaje en Latinoamérica, por eso empezaremos por su definición. El Bandook o RAT es un troyano antiguo de acceso remoto. Hizo su aparición en el año 2005 y con el avance tecnológico ha cambiado para adoptar cada vez más funciones diversas.
En principio, el Bandook era usado por organizaciones de cibercriminales para atacar disidentes y periodistas en Europa, pero ahora es empleado para atacar los mercados de distintos países como Colombia, Ecuador, Perú, entre otros.
Modus operandi del Bandook
En el presente, el ciberataque del malware Bandook comienza cuando es ofrecido por sus desarrolladores como un servicio para atacar empresas manufactureras, de construcción, atención médica, servicios de software, etc., con el objetivo de espiar a sus víctimas.
-
Aparición de correos electrónicos
Empiezan a aparecer correos electrónicos con un archivo PDF malicioso que ha sido adjuntado y enviado a los blancos del ciberataque. Mientras que el contenido de los correos es corto, incluyen números telefónicos falsos y las URL son abreviadas (estas redirigen a servicios de almacenamiento en la nube desde donde se descarga este malware).
-
Un PDF malicioso
El PDF contiene un enlace para descargar otro archivo con su respectiva clave.
-
Aparece el Dropper
Este dropper es el encargado de inyectar el Bandook a través de internet.
Características del Bandook
El Bandook es un malware híbrido por ello se asocia al Dropper, ya que está escrito y codificado en Delphi, de fácil reconocimiento y capaz de almacenar payload cifrado para codificarlo. Su finalidad es decodificar, descifrar y ejecutar el payload para asegurarse de que el malware resista en el dispositivo atacado. Luego de ejecutar el dropper procede a producir varias instancias.
¿Qué es el Payload?
Dentro de la campaña de espionaje en Latinoamérica el payload una vez que es inyectado comienza la carga de variables globales con fines como nombrar mutex, las contraseñas de registro Windows, URL usadas para procesos relativos a las descargas de archivos DLL maliciosos.
Cuando el proceso termina el payload se ejecuta hasta obtener el PID o ID del proceso creado para proceder a la obtención de los datos codificados creados por el dopper.
Para finalizar, la campaña de espionaje en Latinoamérica es un proceso complejo que también implica la persistencia del payload en los dispositivos de la víctima, entre otros aspectos que atentan la ciberseguridad personal y de empresas así que no esperes más y busca expertos en ciberseguridad como nosotros.